Unsere Experten warnen: Warum Sie Emotet nicht unterschätzen sollten!

von Florian Egert

Emotet im Schafspelz: So schützen Sie sich!

Gefälschte E-Mails im Namen von Freunden, Nachbarn oder Kollegen gefährden noch immer ganze Netzwerke: Emotet gilt als eine der größten Bedrohungen durch Schadsoftware weltweit und verursacht auch in Deutschland bis heute hohe Schäden.

Warum ist Emotet besonders?

Ursprünglich trat die Schadsoftware als reiner Banking-Trojaner auf. Mittlerweile ist das Schadprogramm jedoch deutlich weiterentwickelt und wird als Verteilungsplattform für Malware genutzt: Emotet sammelt automatisiert Informationen über Kommunikationsverläufe in einem Unternehmen, greift dazu in „neueren“ Versionen Inhalte aus E-Mails ab und erzeugt daraus automatisiert massenhaft überzeugende und individuell zugeschnittene E-Mails.

So versendet das Programm auch E-Mails aus dem eigenen E-Mail-Programm an die Kontakte im Adressbuch mithilfe eines modularen Ansatzes: Ein Modul fungiert zum Auslesen von E-Mail Anmeldeinformationen, andere Module für die Verteilung von Ransom-Ware. Dazu besitzt Emotet mehrere Mechanismen, um eine Analyse der Malware oder deren Erkennung zu erschweren.

Wie erfolgt die Verbreitung von Emotet?

Hauptsächlich verbreitet sich Emotet über Phishing E-Mails mit E-Mail Anhang. Die Ausbreitung im internen Netz (Lateral Movement) läuft derzeit häufig über NSA-Exploit „EternalBlue“ (CVE-2017-0143) [auch verwendet bei Wannacry].

Der Infektionsverlauf ist perfide!

Der E-Mail-Anhang, der über Emotet zugestellt wird, enthält Word-Dokumente mit schadhaften Makros (.docm) oder PDF-Files mit Links zu maliziösen Webseiten, von denen ein solches Dokument vom Empfänger heruntergeladen wird.

Die Office Dokumente enthalten Makros, welche die eigentliche Malware und weitere Module nachladen. Unter einem Vorwand versuchen die Angreifer zur Aktivierung der Makros aufzurufen und die Sicherheitsfeatures von MS-Office zu deaktivieren - zum Beispiel, dass das Dokument in einer früheren Version von Office erzeugt wurde und der Empfänger Makros aktivieren muss, um das Dokument zu betrachten.

Dies geschieht durch einen Klick auf „Inhalt aktivieren“

Nach dem Klick wird der bösartige VBA-Code des Makros ausgeführt, woraufhin die „eigentliche“ Malware heruntergeladen wird und sich „installiert“. Dies geschieht vor den Augen des Benutzers, jedoch im Hintergrund verborgen.

Je nach Konfiguration (Module) der Emotet-Malware werden weitere unterschiedliche Aktionen ausgeführt, z.B.:

  • Auslesen von Passwörtern oder Outlook-Kontakten
  • Nachladen weiterer Schadsoftware, z.B. Banking-Trojaner „Trickbot“
  • Exfiltration von Daten
  • Reaktion auf Kommandos vom C&C-Server
  • Auslesen von Browser-Kennwörtern
  • Brute-Force Angriffe auf Benutzerkonten

Unsere Empfehlung: Schutzmaßnahmen und Mitigation

Generelle Empfehlungen

  • Sicherheitsupdates (Betriebssystem, Web-Browser und Plugins, E-Mail-Client, Office Anwendungen und PDF-Viewer) vornehmen
  • Zentraladministrierten Virenschutz etablieren, regelmäßige Prüfung auf aktuelle Signaturen!
  • Netzsegmentierung vornehmen
  • Backups zur Wiederherstellung der Betriebsfähigkeit nach einem Ausfall sicherstellen

Spezielle Empfehlungen

  • User-Awareness bei Mitarbeitern stärken, Wissen über die Angriffsmethode von Emotet (Spear-Phishing + Dateianhänge) verbreiten, um den Angriff als solchen überhaupt erkennen zu können
  • Makros und OLE-Objekte in MS-Office sollten, vorzugweise über eine Gruppenrichtlinie, deaktiviert werden (ohne Benachrichtigung)
  • Update der Windows-Systeme, um die EternalBlue Schwachstelle zu schließen
  • Unterbindung von PowerShell, für alle User, die es nicht benötigen (i.d.R. die meisten)
  • Office-Tätigkeiten und das Surfen im Internet sollten mit eingeschränkten Berechtigungen erfolgen (keine Administratorrechte!)
  • Unterbindung der direkten Kommunikation zwischen Clients (insbesondere für SMB, RDP, PowerShell und PSExec)
  • Attachment Filter implementieren (E-Mail Security Lösungen)

Technische Unterstützung der User-Awareness

  • Anzeige von Dateiendungen, sodass doppelte Dateiendungen erkannt werden (bspw. maleware.docx.docm)
  • E-Mail-Client so konfigurieren, dass zusätzlich zum Anzeigenamen auch die E-Mail-Adresse als Absender sichtbar ist

Response (Vorfallreaktion)

  1. Das befallene System muss schnellstmöglich vom Rest des Unternehmungsnetzwerk und dem Internet isoliert werden.
  2. Melden Sie sich nicht mit administrativen Konten auf dem infizierten System an!
  3. Da Systemdateien bei der Infektion ausgetauscht werden, müssen einmal infizierte Systeme grundsätzlich als vollständig kompromittiert betrachtet und daher neu aufgesetzt werden!

Sie haben Fragen zu Emotet?

Zurück